世界で最も広く使われているテキストエディターの一つであるNotepad++が、国家支援の脅威アクターによって実行された高度なサプライチェーン攻撃の被害に遭い、6か月にわたるキャンペーンで更新インフラが侵害されました。
セキュリティ専門家は、極めて選別された標的設定と、インシデント全体を通じて示された技術的高度さに基づき、この攻撃を中国の国家支援グループによるものだと結論づけています。
侵害は2025年6月、脅威アクターがNotepad++の更新配布システムを管理していた共有ホスティングサーバーへのアクセスを得たことから始まりました。
ホスティングプロバイダーの調査によると、攻撃者は2025年9月2日まで永続的なアクセスを維持していましたが、予定されていたカーネルおよびファームウェア更新により、直接接続が一時的に遮断されました。
しかし脅威アクターはすでに盗まれた認証情報を入手しており、内部サービスへのアクセスを保持したまま、更新トラフィックを傍受・改ざんできる能力を2025年12月2日まで延長しました。
プラットフォーム全体に無差別にマルウェアを配布するのではなく、攻撃者は国家レベルの高度さで精密な標的化を行いました。
特定のユーザーからの更新リクエストのみを選別して、悪意あるインストーラーパッケージをホストする攻撃者管理サーバーへリダイレクトしました。
この洗練された手法は高度な能力を示しており、旧バージョンにおけるNotepad++の更新検証の弱点を事前に把握していたことを示唆します。これは、攻撃実行前に広範な偵察が行われていたことを示しています。
この攻撃は、Notepad++の更新メカニズムにおける暗号学的検証の不十分さを悪用しました。
ホスティングプロバイダーのログから、攻撃者がNotepad++のドメインを特に検索していたことが判明しており、アプリケーションのセキュリティアーキテクチャに対する事前偵察があったことを裏付けています。
Notepad++のコード自体の脆弱性を突くのではなく、脅威アクターはインフラレベルの侵害を利用してgetDownloadUrl.phpエンドポイントを操作し、標的ユーザーに対して悪意あるダウンロードURLを返しました。
この攻撃ベクトルは、インフラの侵害によってアプリケーションレベルのセキュリティ制御を回避できてしまう、分散型ソフトウェアエコシステムにおける重大な脆弱性を浮き彫りにしています。
攻撃者は、以前のNotepad++バージョンで更新検証がどのように機能していたかを理解しており、被害者のシステム上で実行される、もっともらしい悪意あるインストールを作成できました。
注目すべき点として、ホスティングプロバイダーのフォレンジック調査では、二次被害者や他サービスへの水平展開の証拠は見つからず、この国家支援の作戦の唯一の標的がNotepad++であったことが確認されました。
Notepad++は断固とした是正対応を実施しました。開発チームは、セキュリティアーキテクチャが大幅に強化された新しいホスティングプロバイダーへ移行し、直ちにバージョン8.8.9でWinGupアップデーターを強化して、実行前に証明書とインストーラー署名の両方を検証するようにしました。
更新サーバーからのすべてのXML応答は現在、XMLDSig標準を用いてデジタル署名されており、必須の検証強制はバージョン8.9.2で開始される予定です。これは公表から1か月以内と見込まれています。
ホスティングプロバイダーは、全サービスにわたる認証情報のローテーション、既知の弱点を排除するための脆弱性パッチ適用、将来の侵害試行を検知するための監視強化など、包括的なハードニング対策を実施しました。
これらの技術的統制は、重要なソフトウェア配布インフラを保護するための業界ベストプラクティスを体現しています。
このインシデントは、サプライチェーン攻撃が世界のソフトウェア配布エコシステムにもたらす、持続的かつ進化する脅威を浮き彫りにしています。
国家支援アクターは、ソフトウェア配布を侵害すれば同時に数百万人のユーザーに到達できることを認識し、更新メカニズムを高インパクトな攻撃ベクトルとして引き続き標的にしています。
この攻撃は、セキュリティ意識の高いメンテナーがいるオープンソースプロジェクトであっても、高度なインフラレベルの脅威に対して脆弱であり得ることを示しています。
Notepad++を使用している組織は、直ちに最新バージョンへ更新し、更新検証が有効になっていることを確認すべきです。
このインシデントは、あらゆるソフトウェア更新メカニズムにおける暗号学的検証の重要性を改めて強調するとともに、安全なソフトウェアサプライチェーンが世界のサイバーセキュリティ防御側にとって最優先事項であり続ける理由を示しています。